随着当今数据泄露和黑客行为的激增，难怪人们更加关注信息安全。SOC 2报告是通用报告，向用户组织和利益相关者提供特定服务安全提供的保证。SOC 2还可以包括与可用性、机密性、处理完整性和隐私相关的标准。

在本文中，我们将讨论与SOC 2报告相关的一些常见问题。SOC 2合规性并不一定很难，尽管在某些术语中，最初可能会令人困惑。那么什么是SOC 2报告和检查？让我们潜水吧！

什么是SOC 2认证？

SOC 2不是认证，但通常称为认证。干净的报告意见表明，审计事务所同意管理层关于控制设计（I类和II类）和操作（仅II类）的主张。清洁报告是一种“通行证”，有时也称为认证。在许多情况下，意见是积极的，会计师事务所同意管理层的主张。在某些情况下，会计师事务所不同意管理层的主张，并提供了保留意见或反对意见。请参阅这篇关于保留意见的博客文章。虽然SOC 2在技术上是一份认证报告，但人们通常将SOC 2称为认证。有关更多信息，请参阅与认证报告相关的AICPA页面。

什么是SOC 2报告？

SOC 2报告是服务组织接收并与利益相关者共享的报告，以证明通用IT控制已到位，以确保所提供的服务。SOC 2s不同于其他一些信息安全标准和框架，因为没有一个全面的“你应该”需求列表。相反，AICPA提供了可由服务组织选择的通用标准，以证明他们有适当的控制措施来减轻他们提供的服务的风险。

这对于一些初次访问的客户来说可能有点烦人，因为对于如何满足适用的标准，没有一个正确的答案。相反，一个好的审计师的工作是确定他们的客户已经在做什么，以满足适用的标准。在某些情况下，存在差距，客户必须实施新的控制。在其他情况下，需要稍微调整现有控件以更好地满足标准。我们的目标是让我们的客户满足所选的标准，但在尽可能补救控制时，创造最小的影响和额外开销。

什么是SOC 2合规性？信托服务标准（TSC）

信任服务标准（TSC）是SOC 2报告中涵盖的领域或范围。并非所有TSC都是必需的。事实上，只需要通用标准（也称为安全TSC）。其他TSC应添加到报告中，以回答从客户处收到的常见风险相关问题，或解决公司及其独特服务所面临的风险。例如，如果医疗保健数据的可用性对服务提供极为重要，那么除了安全标准外，可用性标准还可以包括在SOC 2报告中。

我们有潜在客户表示，他们希望所有的TSC都包含在他们的SOC 2报告中，因为他们希望该报告尽可能成为最强的报告。虽然逻辑合理，但并非所有TSC都适用于特定客户机的服务。例如，如果您的公司不处理交易，则处理完整性可能不适用。

我们听说过包括TSC在内的公司在报告中不适用时，然后解释了为什么在报告中它们不适用。这是不明智的。您的最佳选择是选择适用于您的服务的标准，并回答您从客户和潜在客户那里听到最多的风险相关问题。

信托服务标准如下：

• 安全性–保护系统免受未经授权的访问（物理和逻辑）。通常审查的SOC 2安全控制的示例涉及将环境中的逻辑访问限制到授权的个人。此外，还包括密码复杂性、MFA和分支保护规则等安全配置。
• 可用性–系统可按承诺或约定运行和使用。可用性标准要求公司记录DR和BCP计划和程序。此外，还需要执行备份和恢复测试。
• 机密性–指定为“机密”的信息根据政策或协议受到保护。在许多情况下，这包括业务对业务关系以及从一个业务到另一个业务的PII或敏感数据共享。
• 处理完整性–系统处理完整、准确且经过授权。处理完整性可能与处理交易（如付款）的公司有关，或处理公司的错误（如有缺陷的计算或处理）可能会影响客户的财务或重要流程。如果处理完整性相关，并包含在SOC 2报告中，审计师将审查处理完整、准确的证据，并识别和纠正与处理相关的错误。
• 隐私——当“收集、使用、保留、披露和处置个人信息以满足实体的目标”时，应考虑隐私标准。请注意，隐私标准适用于个人信息。这与适用于其他类型敏感信息的保密标准不同。

隐私与保密标准

世界各地都有各种各样的隐私要求。一些如GDPR和CCPA适用于特定地区的所有公民，并为该地区的所有居民提供保护。目前，美国的隐私要求遵循部门方法，法律适用于行业或数据类型，而不是适用于所有公民的标准方法。

AICPA的隐私标准仅适用于贵公司直接与数据主体打交道，并作为服务的一部分从这些数据主体收集PII等数据的情况。

公司出于营销目的收集电子邮件和联系人通常不足以保证纳入隐私标准。在许多情况下，实际进行数据收集的另一家公司将PII或敏感数据委托给一家公司。这被AICPA（B2B数据共享）视为机密。如果您的公司直接从消费者收集数据，则隐私标准可能是相关的。处理完整性对于每个公司来说都是独一无二的，因为没有两家公司以完全相同的方式处理交易。

SOC 2代表什么？

SOC 2是系统和组织控制2报告。SOC报告有三种类型。查看AICPA网站，比较报告。一些公司为SOC报告之间的差异而挣扎，以及他们是否应该获得SOC 1、SOC 2或SOC 3。我们首先询问潜在客户要求报告的客户类型和利益相关者，以及向客户提供的服务类型。这使我们能够评估潜在客户是否会影响我们潜在客户用户组织的财务报告内部控制（ICFR）。

如果服务组织能够影响其用户组织的ICFR，则SOC 1报告可能是最佳报告选项。如果一个服务组织不能影响其用户组织的ICFR，但可以影响用户组织的安全性、可用性、处理完整性、保密性或隐私，那么SOC 2可能是服务组织客户的最佳报告。

为什么SOC 2很重要？

SOC 2合规性表明，贵公司在管理您环境中的信息安全方面有足够的控制措施。SOC 2比保证你的合规性更强，因为它是由第三方会计师事务所进行的独立审计。

理解SOC 2报告结构

SOC 2报告结构类似于我们在SOC 1文章中概述的SOC 1报告结构，包括：

• 其他资料
• 意见书
• 管理层的断言
• 系统描述
• 控制测试说明和测试结果

符合SOC 2的好处是什么？

• 使自己与竞争对手脱颖而出
• 确定与客户相关的控制，并测试这些控制，以验证控制设计和操作
• 开发更加受控和一致的流程
• 在某些情况下，没有SOC 2，您无法进入特定市场。例如，如果您向金融机构销售，他们几乎肯定需要II类SOC 2报告。

谁需要SOC 2报告？

通常，为客户处理或存储敏感数据的服务组织会收到SOC 2报告。许多SaaS公司、数据中心和管理服务提供商收到SOC 2报告。SOC 2已被广泛接受为美国信息安全标准。因此，一些非传统服务提供商正在接收SOC 2。例如，律师事务所、咨询公司和加密货币服务开始更频繁地接收SOC 2报告。SOC 2是一种向客户演示您的环境中有一组基本级别的信息安全控制的方式。

SOC 2报告的目的是什么？

总的来说，云计算和外包的趋势推动了美国对SOC 2报告的需求。SOC 2的报告允许服务组织向其利益相关者保证以安全可靠的方式提供服务。想象一下一家数据中心公司，它为不同行业的数百名客户提供服务。数据中心可以收到SOC 2报告，以向其利益相关者提供保证，即某些控制措施已经到位，并且正在有效运行，以满足适用的SOC 2标准。如果没有SOC 2报告，同一个数据中心可能会对其客户进行数百次审计。数据中心员工和资源可能不支持来自客户的多个审计。可以说，数据中心“选择了他们的毒药”，并选择了自己的审计师，而不是向数百名潜在的审计人员敞开大门。这是接收SOC 2报告的目的。

SOC 2报告示例

许多公司将IT基础设施外包给服务组织，如数据中心和云托管提供商（如亚马逊的AWS）。这些服务组织如何向客户和利益相关者证明他们充分保护了自己的服务器和敏感数据？服务组织收到SOC 2报告，以证明他们有适当的控制措施来降低安全性、可用性、保密性、处理完整性或隐私风险。SOC 2报告将包括会计师事务所对一段时间内的控制设计和潜在运营效率的意见。

以AWS为例，许多公司使用AWS，并要求AWS保证有适当的控制措施来降低AWS系统和数据被破坏的风险。AWS可以尝试为每个提出安全相关问题的客户机提供不同的答案，但这将花费太多时间。相反，AWS选择了一家独立的会计师事务所进行SOC 2考试（在许多其他AWS合规性考试中）。然后，AWS没有回答所有关于AWS安全态势的问题，而是提供了其SOC 2报告，该报告回答了用户组织提出的与安全性、可用性、保密性、处理完整性和隐私相关的许多常见问题。

自动化SOC 2合规工具怎么样？

对于信息安全，没有一种一刀切的方法。需要进行彻底的风险分析，以确定与给定服务相关的任何独特风险，并确定缓解这些风险的控制措施。

这就是说，如果您的公司使用一套标准的云工具，如AWS、Azure、Google云平台、GitHub或GSuite，则可以将其中许多工具与SOC 2自动化平台集成，并让您的审计师了解您环境中一些关键控制的操作。其中一些工具持续监控与SOC 2报告相关的控制操作，并在出现与控制活动相关的问题时向工具用户发出警告。

使用此类工具存在风险。一个例子是，审计师可能过度依赖工具，而没有充分理解工具所代表的信息。一个好的审核员需要了解工具的查询或连续检查是如何工作的，以便在测试期间依赖它们。

由SOC 2合规自动化工具监控的工作站控制示例包括硬盘加密、操作系统级别、防病毒安装状态和屏幕保护程序锁定启用。

关于SOC 2报告的其他常见问题

是否有SOC 2检查表或快捷方式？

没有检查表，但可以获得并审查AICPA的SOC 2标准。那你是怎么得到的呢？您可以从AICPA购买或联系我们咨询。该标准包含与上述每个TSC相关的要求。这些要求可以通过多种方式满足，因此没有一个适用于SOC 2合规性的检查表。它取决于服务组织提供的服务。SOC 2标准也经历了最近的更新。请参阅我们关于更新的SOC 2标准的博客文章，该标准现在与COSO更加一致。

什么是SOC 2类型2报告？

SOC 2报告可以是类型1（也称为类型I）或类型2（称为类型II）报告。

第一类SOC 2报告的日期为特定日期，有时称为时间点报告。I类SOC 2报告包括服务组织系统的描述和服务组织相关控制设计的测试。I型SOC 2测试服务组织控制的设计，但不测试运行效率。

II类SOC 2报告涵盖一段时间（通常为12个月），包括服务组织系统的描述，并测试一段时间内关键内部控制的设计和运行有效性。

SOC 2报告的成本是多少？

SOC 2考试并不便宜，费用取决于许多因素。因素包括报告中包含的服务范围、包含的TSC、组织规模以及范围内系统和流程的数量。

例如，如果一家公司有3个不同的补丁管理流程，以确保服务器和工作站保持最新，则审计员需要确保这些流程中的每一个都设计为有效运行。在我们的文章中了解更多信息，SOC审计的成本是多少？

谁可以执行SOC 2审核？

专门从事信息安全审计的注册会计师事务所是唯一应该进行SOC 2考试的组织。有一些公司进行SOC 2审计，并有一家会计师事务所在其报告上签字，即使该会计师事务所没有进行审计。我们建议不要采用这种方法。我们还建议选择一家有经验的IT审计师，而不仅仅是财务审计CPA。当选择一家公司执行SOC 2时，我们建议询问将完成该工作的任何审计师的简历或bios。然后，确保您选择的公司拥有具有适当技能和专业知识的审计师。CISA或CISSP等认证是很好的选择。此外，检查推荐人，确保你选择的公司在你所在的领域有经验。

更新的SOC 2指南

2018年12月15日，新的SOC 2指南生效，此后的所有报告必须包括更新的SOC 2中标准。

本文：https://cioctocdo.com/what-soc-2-experts-guide-audits-reports-attestati…